Smart technologie a projekty, kde jsou využívané, v poslední době zažívají boom. Práce s daty nabývá na významu. Požádali jsme proto o rozhovor Vladimíra Brenkuše, specialistu pro bezpečnost informací a kybernetickou bezpečnost, ATS-TELCOM Praha a.s.
Měla by mít v konceptech chytrých měst, a nejen jich, své místo ochrana dat?
Žijeme v dynamické době plné změn, nových technologií a životních situací, pokud se ochrana dat, datové základy a speciálně ochrana osobních dat, nestane přirozenou součástí našich životních standardů, nebudeme znát na tuhle otázku odpověď ještě před pořizováním nového nebo dalšího inteligentního (smart systému) nebo informačního systému obecně, bude v budoucnu technicky obtížně a cenově poměrně nákladné vynakládat úsilí na jejich zabezpečení před jejich zneužitím.
Jednoznačně je tedy potřeba do konceptů chytrých měst zakomponovat ne jenom implementační rámec souboru legislativních, technických a bezpečnostních požadavků, standardů a doporučení ale i požadavků na pravidelné ověřování zranitelností a slabých míst, které můžou být detekovány v rámci analýzy rizik jako potencionální zdroje úniku dat.
V které fázi nově vznikajícího projektu (ať již na chytré řešení přetížené dopravy ve městě nebo třeba na smart řízení určité fáze výrobního projektu) je vhodné myslet na zajištění kyberbezpečnosti? Jak by to v praxi mělo ideálně vypadat?
Již v přípravné etapě, můžete se ptát proč? Protože takový je dnešní svět, neustále musíme ošetřovat rizika a kybernetická bezpečnost je souborem organizačních a technických opatření a řízením jejich životního cyklu. Tedy již když připravujete projektový záměr, je potřeba zohlednit všechny rizika z toho plynoucí a tedy i na přípravnou projektovou fázi je potřeba nahlížet, jako na zdroj možného úniku dat.
Jak by ideálně z Vašeho pohledu měla vypadat situace, kdy město zavádí novou smart technologii? Jaká opatření je nutné provést z hlediska kyberbezpečnosti?
Je dobré začít analýzou rizika a dopadů, znát odpovědi na základní otázky, „Co se stane, když…?“ Zde je možné jednak využít legislativního rámce, tedy minimálně zohledněním jejich požadavky, dále výběrem vhodných technologií a oslovením osvědčených výrobců a dodavatelů, protože orientace pouze na pořizovací cenu, se v této oblasti dnes již nevyplácí. Dále orientací na systémy, které mají implementovány mezinárodně uznávané bezpečnostní standardy a doporučení, výstupy z bezpečnostních testů, popřípadě ověřené reference z implementací v jiných městech nebo státech.
Staví se veřejná správa dle Vašeho názoru odpovědně k ochraně dat? Co probíhá dobře a na čem je třeba ještě zapracovat?
K tomuto hodnocení nejsem kompetentní ale určitě je to dobrá otázka pro zamyšlení se, každého odpovědného pracovníka ve veřejné správě, na kompetentních místech, kde by každý měl znát odpověď, co pro to udělal, kde jsou rezervy a do jaké míry k tomu sám přispěl.
Určitě existuje prostor pro zlepšení a evaluaci, hledal bych více rozhodnosti již při tvorbě legislativního bezpečnostního rámce, kde je potřeba více věci konkretizovat a nezůstávat pouze u obecných frází, implementace takových opatření v praxi je pak pouze alibistická, málo se klade důraz na prokazování bezpečnostních funkcí a vlastností pořizovaných systémů. V akceptačních kritériích pořizovaných systémů málo kdy najdete požadavky na testy zranitelností, ověřování zdrojového kódu, penetrační testy a obecně požadavky na ověření bezpečnostních kritérií.
Jaká je situace v průmyslu? Dbají podniky dostatečně na ochranu dat? Co by rozhodně neměly zanedbat?
Odpověď není zcela jednoznačná, jednak se průmysl řídí svými odvětvovými kritérii a jednak se řídí svými analýzami zaměřenými na své obchodní, rozvojové strategie a zájmy, včetně bezpečnostních. Určitě ale v dnešní době, již není soubor implementace bezpečnostního rámce pro podnik „hrozbou“ ale spíše konkurenční výhodou, což je vidět v oblasti některých průmyslových odvětví, při přechodu výroby na pokročilou robotizaci a využívání systémů umělé inteligence.
Co je v České republice častějším problémem – úniky dat a nebo napadení zvenku? A co to pro podniky i veřejnou sféru znamená?
Již z podstaty věci a morálních hodnot ve společnosti jsou úniky dat, ať již náhodné vlivem technických nedostatků nebo úmyslné, častějším jevem než cílené, sofistikované útoky hackerů. Pro cílené útoky v dnešní době již musí existovat převážně reálné důvody. Je to ještě pořád dané tím, že vše je doposud převážně otázkou ceny nabídky a poptávky, morálních vlastností odpovědných osob a schopností orgánů činných v trestním řízení, při prokazování úmyslu a stanovování výšky trestu.
Jednoznačné doporučení zde neexistuje, obecně ale platí, že bezpečnost něco stojí. K bezpečnosti je proto potřeba přistupovat procesně, provádět pravidelné kontroly zavedeného bezpečnostního systému, analyzovat a testovat zranitelnosti, nasazovat evaluační mechanismy, implementovat soubory bezpečnostních standardů a podobně.
V praxi to znamená implementovat systémy řízení bezpečnosti informací ale ne pouze pro splnění legislativních nebo certifikačních požadavků ale pro zavedení funkčních pravidel do reálného života organizace, společnosti, již od školního prostředí, zjednodušeně řečeno, dodržovat pravidla.
Jaké důsledky může mít zanedbaná kyberbezpečnost?
To záleží na konkrétním typu organizace neboli „případ od případu“ ale tohle si již umí každá organizace spočítat sama, ale obecně zde platí, že všechny důsledky nebo neošetřená rizika jsou otázkou dopadu do ceny a míry zisku organizace. Každá organizace je pravděpodobně orientovaná na generování zisku, takže od finanční ztráty, propadu na burze až po bankrot a likvidaci společnosti je zde možné vnímat vše, co ovlivňuje hospodářský výsledek.
U státních organizací je to složitější, zde platí legislativní rámce a vzorce chování mající dopady do funkčnosti státu. Proto je jejich plnění legislativou vynucováno ale i zde platí reputační riziko, dopady na chování občanů, politické dopady, finanční nestabilitu a následky z nedodržování mezinárodních závazků a podobně.
Více informací získáte na konferenci Kyberbezpečnost v síťových odvětvích, která proběhne 16. 1. 2020 v Praze.
Foto: zdroj B.I.D. services
Komentáře